Responsabili della Protezione Dati: il focus dei Garanti Europei su designazioni e incompatibilità
Rendere coerente tra gli Stati membri l’applicazione del GDPR e assicurare la cooperazione tra le autorità di protezione dei dati su un tema ritenuto prioritario: la designazione e la posizione del DPO (Data Protection Officer) o RPD (Responsabile Protezione Dati). Questo l’obiettivo della prossima azione del comitato europeo per la protezione dei dati (EDPB). Le autorità di controllo, insieme al garante europeo della protezione dei dati, avvieranno infatti indagini sugli aspetti ancora da definire dei requisiti del DPO ai sensi del GDPR
15 Febbraio 2023
Patrizia Cardillo
Esperta di Protezione dati personali
Il comitato europeo per la protezione dei dati (EDPB) ha annunciato che la sua seconda azione di applicazione coordinata tra gli Stati membri si concentrerà sulla designazione e sulla posizione del responsabile della protezione dati con l’obiettivo di rendere coerente tra gli Stati membri l’applicazione del GDPR e assicurare la cooperazione tra le autorità di protezione dei dati su un tema ritenuto prioritario. La prima azione avviata nel 2021 aveva ad oggetto l’uso di servizi basati su cloud da parte del settore pubblico.
Le autorità di controllo, insieme al garante europeo della protezione dei dati, avvieranno indagini sugli aspetti ancora da definire dei requisiti del DPO ai sensi del GDPR. L’EDPB ha affermato che le singole azioni saranno “raggruppate e analizzate, generando una visione più approfondita dell’argomento e consentendo un follow-up mirato sia a livello nazionale che a livello dell’UE”.
L’iniziativa anticipata dalla sentenza della Corte di giustizia europea che recentemente si è pronunciata in materia di conflitto di interesse, stabilendo che i DPO dovrebbero “essere in grado di svolgere i propri compiti in modo indipendente” ma “non possono essere affidati a compiti o svolgere compiti che potrebbero comportare che lui o lei determini le finalità e le modalità del trattamento dei dati personali da parte del titolare del trattamento o del suo responsabile”. Contemporaneamente l’alta Corte non esclude che una protezione rafforzata del RPD che impedisca qualsiasi sua rimozione, nell’ipotesi che non sia più in grado di adempiere ai propri compiti in piena indipendenza a causa dell’esistenza di un conflitto di interessi, comprometterebbe la realizzazione stessa degli obiettivi fondanti del GDPR.
La CGUE conclude affermando che “spetta al giudice nazionale determinare, caso per caso, sulla base di una valutazione di tutte le circostanze rilevanti”.
Anche il Garante italiano in una ordinanza di ingiunzione nei confronti del Comune di Policoro[1] aveva, tra l’altro, individuato la presenza di conflitto di interesse nella posizione del RPD al quale era stato conferito mandato di rappresentare il Comune in giudizio.
L’intervento dell’EDPB si inserisce nel suo quadro strategico per il biennio 2021-2023 laddove, proprio per sostenere un’applicazione efficace delle norme e una cooperazione efficiente tra le autorità nazionali di controllo, aveva costituito una struttura di coordinamento delle attività di enforcement (CEF – Coordinated Enforcement Framework) affiancata successivamente da un gruppo di esperti di supporto (SPE – Support Pool of Experts) con l’obiettivo di facilitare azioni comuni su temi significativi di primario interesse, a partire da attività congiunte di sensibilizzazione e raccolta di informazioni fino alle indagini a tappeto e alle indagini congiunte.
Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA
[1] GPDP – Registro dei Provvedimenti n. 214 del 9 giugno 2022